Tribu de hackers red team 3.0

Aquí vamos con un tercer artículo con Tribe of Hackers Red Team de Marcus J. Carey y Jennifer Jin (2019) como referencia. En ocasiones anteriores, habíamos apreciado opiniones y recibido consejos de dos hombres, expertos en red teaming: (1.0) Marcus Carey y (2.0) Benjamin Donnelly. Ahora es el momento de abrir espacio al género femenino dentro de este apasionante contexto. Pocas mujeres aparecen en el libro citado, del mismo modo que pocas mujeres trabajan en red teams como Fluid Attacks. De hecho, todavía no tienen mucha presencia en el ámbito del hacking ético, hecho que nos gustaría ayudar a cambiar. Por eso en este artículo, como un pequeño incentivo, queremos centrarnos en el punto de vista y algunas recomendaciones de Georgia Weidman —emprendedora en serie, evaluadora de penetración, investigadora de seguridad, oradora, formadora y autora— para quienes estamos interesados en el red teaming.

Como le ocurrió a Benjamin Donnelly (véase el artículo anterior), Georgia empezó su carrera en red teaming tras participar en la universidad en una competición de ciberdefensa. Y aunque se declara una persona con pocas habilidades sociales, al menos para hablar con alguien de tú a tú, eso no le ha impedido establecer redes y conseguir oportunidades para trabajar en red teams. Esto se ha visto reforzado por sus investigaciones sobre seguridad, sus presentaciones en conferencias y sus clases de entrenamiento como voluntaria.

En 2014, Georgia publicó un libro titulado Penetration Testing: A Hands-On Introduction to Hacking. Ella lo recomienda para que la gente nueva aprenda sobre hacking en un ambiente controlado. Además, para aquellos interesados en adquirir habilidades de red team (sin actividad ilegal), Georgia sugiere participar en competiciones como capturar la bandera (CTF, por su nombre en inglés). En ellas, uno tiene el consentimiento para atacar a los objetivos en diferentes marcos temporales. Georgia plantea que, en general, mientras estés practicando en sistemas, aplicaciones, etc., que te pertenecen o tienes permiso expreso para atacar, estás aprendiendo éticamente.

Es llamativo algo que menciona Georgia en relación con lo que ella espera de las personas que se presentan a entrevistas como miembros potenciales de red teams. Además de buenas dotes para la comunicación con públicos técnicos y no técnicos, ella solicita profesionales apasionados por el oficio. Por tanto, plantea que no busca gente que trabaje de 9 a. m. a 5 p. m. y se vaya a la casa a jugar videojuegos toda la noche. (¿Te has dado cuenta de cuántas horas al día dedicas a los videojuegos? ¿Crees que realmente sabes gestionar tu tiempo?) Para ella es esencial contar con personas que investiguen sobre seguridad y presenten sus resultados al mundo a través de cualquier medio de comunicación disponible. Georgia busca individuos que, cuando reconocen que carecen de alguna habilidad en un área concreta, hacen todo lo posible por obtener los conocimientos correspondientes.

Cuando Carey y Jin preguntan a Georgia sobre las reglas de juego (acuerdo para trabajar con un cliente), ella plantea algo que podemos encontrar a menudo en este campo: Teniendo en cuenta cómo gran parte de nuestra sociedad ve a los hackers (genios malignos decididos a destruir el mundo solo para demostrar a sus rivales que pueden hacerlo), muchas organizaciones tienen una comprensible resistencia a permitir que los evaluadores de seguridad las ataquen. Por esta razón, las reglas de juego definidas antes del inicio de las pruebas de seguridad dentro de cada proyecto variarán en su rigor en función de la comodidad del cliente. Y esto es algo que siempre debemos respetar.

Georgia expresa más adelante con precisión que romper las reglas del juego, incluso cuando crees que eso hace que las pruebas sean más auténticas respecto al mundo real, solo contribuye a la noción de que los hackers éticos son solo atacantes maliciosos con un trabajo de fachada. Y no solo eso. Violar las reglas de un contrato puede llevar incluso a alguna penalización o simplemente a la anulación de los honorarios acordados, así como a la pérdida de un cliente para el futuro y, por qué no, a dañar la reputación del equipo.

Georgia afirma que la parte más valiosa de las pruebas de seguridad no es conseguir la administración del dominio, sino dejar al cliente con una comprensión clara de sus deficiencias de seguridad y un plan de acción para solucionarlas. Según ella, las recomendaciones de remediación de las herramientas automatizadas a menudo no se ajustan a los planes de negocio y, por tanto, no son aplicables. Por este motivo, las ideas detalladas y contextualizadas de los profesionales de la seguridad pueden ser mucho más valiosas para la gestión de vulnerabilidades.

Inmediatamente después, lo que comenta Georgia conecta perfectamente con lo que hacemos en Fluid Attacks a través de nuestra plataforma. Para Georgia es importante no solo explicar claramente sus resultados, sino también mantener un diálogo abierto con el blue team del cliente, mientras trabajan en la remediación de los problemas, por si tienen alguna duda. Además, como complemento esencial a lo anterior, ella menciona la validación de la remediación —la cual, por ejemplo, en nuestra empresa realizamos con reataques— para asegurar siempre que las vulnerabilidades identificadas y reportadas han sido cerradas exitosamente.

Muchos clientes acuden a Georgia en búsqueda de red teaming o pruebas de penetración, cuando en realidad lo que necesitan es empezar por un análisis de vulnerabilidades o ayuda para desarrollar un programa básico de seguridad. Este es un punto crucial que Georgia remarcó para las empresas. En su ignorancia, algunas compañías creen que el red teaming es inmediatamente necesario cuando su postura de seguridad aún no es robusta, y lo que se detectará primero son parches faltantes, contraseñas por defecto y otras cosas similares de fácil detección. En estos casos, según Georgia, deberían utilizarse más a menudo escáneres o procesos automatizados. Eso es lo que hacemos en Fluid Attacks con nuestra herramienta al principio de los proyectos, buscando vulnerabilidades conocidas tanto superficiales como determinísticas para remediarlas lo antes posible.

Asegúrate de resolver primero los problemas de seguridad más sencillos, luego refuerza tu sistema con todas las medidas sugeridas por los expertos en seguridad y, por último, somételo a la destreza de los hackers éticos para que lo evalúen a fondo.

Si quieres conocer nuestra solución de pruebas de seguridad para tu empresa, puedes contactarnos aquí. Espero que hayas disfrutado leyendo este artículo, el tercero de la serie Tribu de hackers red team. ¡Hasta pronto!